Desglose de datos en el centro de pruebas de Corona

Hacerse la prueba de detección de la infección por el virus Covid 19 se está convirtiendo en algo casi habitual para cada vez más personas. En muchos lugares se han creado centros de pruebas donde se puede hacer rápidamente y, por lo general, incluso de forma gratuita.

Por lo general, los visitantes reciben al final un código de acceso que pueden utilizar para ver el resultado de su prueba en línea o imprimir una confirmación al cabo de cierto tiempo. En muchos lugares, se exigen antes de entrar en determinadas tiendas, por ejemplo. Por lo tanto, no hay prácticamente ninguna forma de evitar acudir a un centro de pruebas y facilitar allí los datos personales.

Con la presencia en línea de algunos centros de examen, se produjeron repetidas averías informáticas en las que los datos de las personas examinadas estaban a disposición de todo el mundo. Se trataba no sólo de datos personales como el nombre, la fecha de nacimiento, la dirección y el número de teléfono, sino también de los respectivos resultados de las pruebas, que como datos de salud quedan bajo la protección especial del art. 9 I DSGVO.

Ejemplos actuales

No sólo en marzo de 2021 los investigadores de seguridad descubrieron que los centros de pruebas Corona de Alemania y Austria no estaban debidamente protegidos (en ellos se podía acceder abiertamente al nombre, la dirección, la fecha de nacimiento, la nacionalidad, el resultado de las pruebas Corona y, en algunos casos, los datos del DNI de más de 80.000 personas), sino que incluso más recientemente fue posible ver los datos correspondientes a más de 14.000 personas que se sometieron a las pruebas en centros de Hamburgo, Berlín, Leipzig y Schwerte.

Así que el problema sigue vigente.

Motivos de las violaciones de datos

Pero, ¿dónde estaban exactamente los errores que hacen posibles tales percances de datos en primer lugar?

En más de 100 centros de pruebas, las interfaces de los sitios y aplicaciones web a través de los cuales los clientes pueden inscribirse en una prueba y obtener su resultado estaban disponibles sin protección. Estas interfaces de los centros de pruebas afectados no sólo no estaban suficientemente protegidas, sino que incluso los usuarios no profesionales de ordenadores podían ver el resultado y otros datos personales de otros clientes cambiando el último dígito del número de identificación de cliente que se les había asignado para ver su resultado. Para evitarlo, en la programación se pueden utilizar los llamados UUID y valores hash complejos (resultados).

Además, se dice que en parte era posible ver en línea, a través de cada cuenta de cliente, en qué centro de pruebas se estaba examinando a quién y cuándo, y cuál era el resultado.

Consecuencias

Se impusieron multas a los operadores individuales, como también prevé el GDPR. Sin embargo, no tardaron en alzarse voces que afirmaban que las autoridades carecían de la severidad necesaria a la hora de tomar medidas contra estas violaciones de datos.

Los operadores afectados, que tenían la obligación de notificar estas violaciones de datos, declararon que las vulnerabilidades se han corregido desde entonces.

Pero es previsible que en el futuro se revelen más deficiencias de digitalización en relación con las cantidades de datos recogidos en relación con Corona.